Содержание

От автора..........................................................3

Введение .......................................................4

Защита против вирусов...........................................6

Военные разработки ..............................................7

Компьютерные исследования ......................................8

Мемы..........................................................11

Организация этой книги ..........................................13

Краткая история вирусов .........................................14

Глава 1. Что такое компьютерный вирус? ...........................22

Характеристики вирусов .........................................26

Какие программы они инфицируют................................26

Как вирус скрывает себя........................................27

Как вирус находит программы для инфекции .......................27

Как вирус крепится к зараженному файлу..........................27

Какой вид расплаты предполагается в вирусе......................27

На какую операционную систему рассчитан вирус ..................27

На каком языке написаны вирусы ................................28

Вирусные технологии: прошлое, настоящее и будущее ................28

/. Туннелинг...................................................28

2. Антитуннелинг ...............................................29

3. Сокрытие ...................................................29

4. Кодирование, полиморфизм и метаморфизм.....................31

5. Антиотладка и антиэвристичность ..............................32

6. Среднефайловая инфекция....................................32

Функциональные элементы вирусов ................................33

Глава 2. Самовоспроизводство ....................................36

Простые COM-инфекторы ........................................37

Принцип действия COM-программы................................39

Переписывающие вирусы .......................................47

Механизм поиска................................................62

Механизм воспроизводства.......................................66

Более сложный вариант переписывающего вируса ...................68

Компаньонские вирусы...........................................74

Выполнение жертвы .............................................76

Поиск файлов...................................................78

Инфекция файлов ...............................................80

Вариации на заданную тему.......................................81

Листинг вируса CSpawn ..........................................83

Глава 3. Сложные COM-инфекторы .................................87

1. Паразитический вирус, который крепится к концу жертвы............88

Управление данными и памятью ..................................90

Компилирование вируса .......................................106

Вирус CODIGO................................................107

2. Паразитический вирус, который крепится к началу жертвы ..........113

Механизм поиска файла.......................................116

Инфицирование жертвы ........................................121

Выполнение жертвы............................................122

Исходный код вируса Example ...................................124

Глава 4. Вирус-резидент памяти ..................................129

Прерывания...................................................131

Манипуляции с таблицей векторов прерывания .....................132

Самораспознавание ............................................136

Проверка: является ли файл COM-файлом? .......................137

Получение резидентуры с помощью INT27h ......................139

Блоки управления памятью ......................................145

Вирус Civil War II V1.1 — создан Dark Helmet ........................153

Вирус Guppy...................................................164

Вирус Armagedon ..............................................168

Обработчик Timer Click (INT 8) — для набора телефонных номеров ....177

Подпрограмма для дозвона..................................... 179

Запись данных в Corn-порты .....................................180

Вирус Micro-128............................................187

Использование UMB ............................................190

Глава 5. Инфекция ЕХЕ-файлов ...................................194

Инфицирование ЕХЕ-файла ......................................200

Механизм поиска файлов........................................202

Передача контроля жертве.......................................203

Исходный код Intruder-B ........................................204

Улучшенные методы для резидентов памяти ........................213

Возвращение контроля жертве ..................................214

Файловые операции, основанные на FCB .........................215

Нахождение файлов, пригодных для инфекции ....................217

Инфицирование программ .....................................218

Самоопределение в памяти.....................................218

Совместимость с Windows ......................................219

Проверка вируса ..............................................220

Исходный код вируса Yellow Worm ...............................220

Использование таблиц системного файла ..........................234

Глава 6. Инфицирование загрузочного сектора .....................239

Загрузочные секторы ...........................................240

Необходимые компоненты загрузочного сектора ....................243

Прерывание Int 13H .............................................247

DROPPER.ASM загрузочного сектора ..............................251

Исходный код DROPPER.ASM ....................................252

Trivial Boot — простой вирус загрузочного сектора ...................258

Kilroy-B — улучшенный вирус загрузочного сектора ..................259

Процесс инфицирования ........................................259

Проверка Kilroy-B .............................................260

Исходный код Kilroy-B..........................................260

Stoned — вирус загрузочного сектора .............................267

Процесс инфекции диска ........................................267

Резидентура в памяти ...........................................270

Инфицирование жестких дисков ..................................271

Главная загрузочная запись.....................................273

Инфицирование дискет .........................................277

Логическая бомба ..............................................279

Листинг Stoned ...............................................280

Решение проблем и развитие индивидуальных черт вируса ...........290

Исходный код вируса Baphometh ................................299

Глава 7. Многоцелевые вирусы...................................321

Главная загрузочная запись ......................................323

Загрузочная запись.............................................334

1. Инфицирование MBR ........................................335

2. Инфицирование Boot ........................................338

Другие способы...............................................346

Вирус Military Police.............................................348

1. MP как вирус загрузочного сектора ............................348

2. MP превращается в TSR ......................................348

3. Инфицирование файлов .....................................352

4. Загрузка из файла ..........................................353

5. Исходный код вируса Military Police ............................354

Область данных BIOS ..........................................356

Инфицирование жесткого диска ..................................361

Модуль FATMAN...............................................363

Модуль MP_INT 13H.ASM .......................................373

Модуль MP_BOOT.ASM ........................................375

Модуль MPJNT21H.ASM .......................................380

Модуль MP_EXEFILE.ASM.......................................391

Глава 8. Инфицирование драйверов устройств .....................397

Шаг первый: структура файла ....................................397

Шаг второй: системные возможности .............................398

Шаг третий: Стратегия инфекции .................................401

Шаг четвертый: Выполнение.....................................405

Ассемблирование драйвера устройства............................406

Исходный код DEVIRUS.ASM .....................................406

Глава 9. Вирусы под Windows .....................................419

EXE- структура Windows..........................................420

Инфицирование файла..........................................427

Использование Windows API ......................................429

Особенности защищенного режима ...............................434

Подготовка и выполнение .......................................436

Выполнение в виде Windows EXE ..................................436

Инфицирование DLLs ...........................................437

Исходный код Caro Magnum......................................437

Глава 10. Вирусы для OS/2........................................468

Модели памяти OS/2............................................468

Инструменты программирования в OS/2 ..........................469

Структура исполнительного файла...............................469

Функциональные вызовы .......................................469

Управление памятью ..........................................471

Новые проблемы .............................................471

Исходный код ................................................472

Послесловие ....................................................502